La personne concernée [l’employé]  a travaillé pour le cabinet d’avocats et d’économistes R. & Asociados, responsable de traitement, du 13 mars au 21 juillet 2023. Le responsable de traitement a publié les noms et les photographies de ses employés sans leur consentement sur le site internet de l’employeur.

Selon le responsable de traitement, la personne concernée avait consenti à la publication de sa photo en posant pour la photo et en fournissant des informations de son CV à utiliser dans la section profil de l’entreprise. Le spécialiste informatique du responsable de traitement avait envoyé aux employés un courriel en prévision de la prise de photos qui disait : « Demain, nous prendrons des photos des nouveaux arrivants qui le souhaitent » et il incluait un lien pour montrer à quoi ressemble la publication à venir.

Le responsable de traitement a ajouté à son argumentation que la personne concernée avait publié les mêmes informations sur son profil LinkedIn.

L’autorité espagnole de protection des données (AEPD) a, dans une décision EXP202313226 du 20.11.2024 présentée, résumée et traduite sur gdprhub (https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202313226&mtc=today), a considéré notamment que le responsable de traitement avait fondé le traitement des données personnelles sur le consentement de la personne concernée.

En ce qui concerne la définition du consentement au sens de l’article 4(11) du RGPD ainsi que des considérants 32 et 42 du RGPD, l’AEPD a souligné que la personne concernée doit être informée de manière adéquate du traitement et y consentir clairement. Or au cours de son enquête, l’AEPD n’a trouvé aucune preuve d’une déclaration claire faite par la personne concernée selon laquelle elle avait consenti au traitement de ses données personnelles sous la forme d’une publication sur le site Internet après avoir été dûment informée.

L’AEPD a estimé que le responsable de traitement avait simplement présumé du consentement de la personne concernée, ce qui ne répond pas à l’exigence d’une action positive claire. Elle a donc constaté une violation de l’article 6(1) du RGPD et a infligé une amende de 5 000 € au responsable du traitement.

Me Philippe Ehrenström, avocat, LLM